FDMを使用したFTDでのデュアルISPの設定

ダウンロード オプション

  • PDF     (1.8 MB)
    Adobe Reader を使ってさまざまなデバイスで表示
Updated: 2025 年 6 月 17 日
Document ID:223114

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

    はじめに

    このドキュメントでは、Secure Firewallシリーズのファイアウォールデバイスマネージャ(FDM)を使用して、デュアルインターネットサービスプロバイダー(ISP)フェールオーバーを設定する方法について説明します。

    前提条件

    要件

    次の項目に関する知識があることが推奨されます。

    • 基本的なルーティング
    • ファイアウォールデバイスマネージャダッシュボードの知識

    • 少なくとも2つのインターネットサービスプロバイダーがセキュアファイアウォールに接続している。

    使用するコンポーネント

    このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。

    7.7.X以降のバージョンが稼働するCisco Secure Firewall

    7.7.0バージョンがインストールされたファイアウォール3130を保護します。

    このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。

    設定

    ステップ 1:

    セキュアファイアウォールのFDMにログインし、View All Interfacesボタンを選択してinterfacesセクションに移動します。

    FDM Main DashboardFDMメイン・ダッシュボード

    ステップ 2:

    プライマリISP接続のインターフェイスを設定するには、まず目的のインターフェイスを選択します。続行するには、対応するインターフェイスボタンを選択します。この例で使用するインターフェイスはEthernet1/1です。

    Interfaces TabInterfacesタブ

    ステップ 3:

    プライマリISP接続の正しいパラメータを使用してインターフェイスを設定します。この例では、インターフェイスはoutside_primaryです。

    Configuration of Primary ISP interfaceプライマリISPインターフェイスの設定

    ステップ 4:

    セカンダリISPインターフェイスに対して同じプロセスを繰り返します。この例では、インターフェイスEthernet1/2が使用されています。

    Configuration of Secondary ISP InterfaceセカンダリISPインターフェイスの設定

    ステップ 5:

    ISPの2つのインターフェイスを設定した後、次の手順では、プライマリインターフェイスのSLAモニタを設定します。

    メニューの上部にあるObjectsボタンを選択して、Objectsセクションに移動します。

    Configured Interfaces設定されたインターフェイス

    手順 6:

    左側の列でSLA Monitorsボタンを選択します。

    Objects ScreenObjects画面

    手順 7:

    Create SLA Monitorボタンを選択して、新しいSLAモニタを作成します。

    SLA Monitor SectionSLA Monitorセクション

    ステップ 8:

    プライマリISP接続のパラメータを設定します。

    SLA Object CreationSLAオブジェクトの作成

    ステップ 9:

    オブジェクトが作成されたら、インターフェイスのスタティックルートでオブジェクトを作成する必要があります。Deviceボタンを選択して、メインダッシュボードに移動します。

    SLA Monitor CreatedSLAモニタが作成されました

    ステップ 10:

    Routing PanelView Configurationを選択して、Routing Sectionに移動します。

    Main Dashboardメインダッシュボード

    ステップ 11

    Static Routingタブで、両方のISPの2つのデフォルトスタティックルートを作成します。新しいスタティックルートを作成するには、CREATE STATIC ROUTEボタンを選択します。

    Static Routing SectionStatic Routingセクション

    ステップ 12

    最初に、プライマリISPスタティックルートを作成します。 最後に、最後の手順で作成したSLAモニタオブジェクトを追加します。

    Static Route For Primary ISPプライマリISPのスタティックルート

    ステップ 13

    最後の手順を繰り返し、適切なゲートウェイと異なるメトリックを使用するISPセカンダリデフォルトルートを作成します。この例では、200に増やされています。

    Static Route For Secondary ISPセカンダリISPのスタティックルート

    ステップ 14:

    両方のスタティックルートが作成されたら、セキュリティゾーンを作成する必要があります。上部にあるObjectsボタンを選択して、Objectsセクションに移動します。

    Static Routes Created作成されたスタティックルート

    ステップ 15:

    Security Zonesセクションの左側の列でSecurity Zonesボタンを選択してSecurity Zonesセクションに移動し、CREATE SECURITY ZONEボタンを選択して新しいゾーンを作成します。

    Security Zones SectionSecurity Zonesセクション

    ステップ 16:

    ISP接続の両方の外部インターフェイスを使用して外部セキュリティゾーンを作成します。

    Security Zone Outside外部のセキュリティゾーン

    ステップ 17:

    セキュリティゾーンが作成された後、NATを作成する必要があります。上部にあるPoliciesボタンを選択して、Policiesセクションに移動します。

    Security Zones Created作成されたセキュリティゾーン

    ステップ 18:

    NATボタンを選択してNATセクションに移動してから、CREATE NAT RULEボタンを選択して新しいルールを作成します。

    NAT SectionNATセクション

    ステップ 19:

    ISPフェールオーバーの場合、設定には外部インターフェイスを経由する2つのルートが必要です。まず、プライマリISPへのプライマリ外部インターフェイス接続が必要です。

    NAT For Primary ISPプライマリISPのNAT

    ステップ 20:

    次に、セカンダリISP接続用の2番目のNATです。

    :元のアドレスに対して、同じネットワークを使用することはできません。この例では、セカンダリISPの場合、元のアドレスはオブジェクトany-ipv4です。

    NAT For Secondary ISPセカンダリISP用NAT

    ステップ 21:

    両方のNATルールを作成した後、アウトバウンドトラフィックを許可するためにアクセスコントロールルールを確立する必要があります。Access Controlボタンを選択します。

    NAT Rules Created作成されたNATルール

    ステップ 22:

    アクセスコントロールルールを作成するには、CREATE ACCESS RULEボタンを選択します。

    Access Control SectionAccess Controlセクション

    ステップ 23:

    必要なゾーンネットワークを選択します。

    Access Control Ruleアクセスコントロールルール

    ステップ 24:

    アクセスコントロールルールを作成したら、上部のDeployボタンを選択して、すべての変更の展開に進みます。

    Access Control Rule Createdアクセスコントロールルールが作成されました

    ステップ 25:

    変更を確認し、「今すぐ配備」ボタンを選択します。

    Deployment Verification導入の検証

    ネットワーク図

    Network Diagramネットワーク図

    確認

    > system support diagnostic-cli 
Attaching to Diagnostic CLI ... Press 'Ctrl+a then d' to detach.
Type help or '?' for a list of available commands.

    SF3130# show ip
    System IP Addresses:
    Interface   Name            IP address  Subnet mask   Method 
    Ethernet1/1 outside_primary 172.16.1.1  255.255.255.0 manual ------------> THE PRIMARY INTERFACE OF THE ISP IS SET
    Ethernet1/2 outside_backup  172.16.2.1  255.255.255.0 manual ------------> THE SECONDARY INTERFACE OF THE ISP IS SET
    Ethernet1/3 inside          192.168.1.1 255.255.255.0 manual

    SF3130# show interface ip brief 
    Interface   IP-Address  OK? Method Status Protocol
    Ethernet1/1 172.16.1.1  YES manual   up      up -------------------> THE INTERFACE IS UP AND RUNNING
    Ethernet1/2 172.16.2.1  YES manual   up      up -------------------> THE INTERFACE IS UP AND RUNNING 
    Ethernet1/3 192.168.1.1 YES manual   up      up

    SF3130# show route
    Gateway of last resort is 172.16.1.254 to network 0.0.0.0

    S* 0.0.0.0 0.0.0.0 [1/0] via 172.16.1.254, outside_primary ----> THE DEFAULT ROUTE IS CONNECTED THROUGH THE PRIMARY ISP
    C  172.16.1.0  255.255.255.0   is directly connected, outside_primary
    L  172.16.1.1  255.255.255.255 is directly connected, outside_primary
    C  172.16.2.0  255.255.255.0   is directly connected, outside_backup
    L  172.16.2.1  255.255.255.255 is directly connected, outside_backup
    C  192.168.1.0 255.255.255.0   is directly connected, inside
    L  192.168.1.1 255.255.255.255 is directly connected, inside

    SF3130# show run route
    route outside_primary 0.0.0.0 0.0.0.0 172.16.1.254 1 track 1
    route outside_backup  0.0.0.0 0.0.0.0 172.16.2.254 200

    SF3130# show sla monitor configuration ---> CHECKING THE SLA MONITOR CONFIGURATION
    SA Agent, Infrastructure Engine-II
    Entry number: 539523651
    Owner: 
    Tag: 
    Type of operation to perform: echo
    Target address: 172.16.1.254
    Interface: outside_primary
    Number of packets: 1
    Request size (ARR data portion): 28
    Operation timeout (milliseconds): 3000
    Type Of Service parameters: 0x0
    Verify data: No
    Operation frequency (seconds): 3
    Next Scheduled Start Time: Start Time already passed
    Group Scheduled : FALSE
    Life (seconds): Forever
    Entry Ageout (seconds): never
    Recurring (Starting Everyday): FALSE
    Status of entry (SNMP RowStatus): Active
    Enhanced History:

    SF3130# show sla monitor operational-state 
    Entry number: 739848060
    Modification time: 01:24:11.029 UTC Thu Jun 12 2025
    Number of Octets Used by this Entry: 1840
    Number of operations attempted: 0
    Number of operations skipped: 0
    Current seconds left in Life: Forever
    Operational state of entry: Pending
    Last time this entry was reset: Never
    Connection loss occurred: FALSE
    Timeout occurred: FALSE ----------------------------> THE ISP PRIMARY IS IN A HEALTHY STATE
    Over thresholds occurred: FALSE
    Latest RTT (milliseconds) : Unknown
    Latest operation return code: Unknown
    Latest operation start time: Unknown

    AFTERARGBSETHBNDGFSHNDFGSDBFB

    SF3130# show interface ip brief 
    Interface   IP-Address  OK? Method Status Protocol
    Ethernet1/1 172.16.1.1  YES manual  down   down -------------------> THE PRIMARY ISP IS DOWN
    Ethernet1/2 172.16.2.1  YES manual   up     up 
    Ethernet1/3 192.168.1.1 YES manual   up     up 

    SF3130# show route
    Gateway of last resort is 172.16.2.254 to network 0.0.0.0

    S* 0.0.0.0 0.0.0.0 [200/0] via 172.16.2.254, outside_backup ---------> AFTER THE ISP PRIMARY FAILS, INSTANTLY THE ISP BACKUP IS FAILOVER AND IS INSTALL IN THE ROUTING TABLE
    C  172.16.2.0 255.255.255.0    is directly connected, outside_backup
    L  172.16.2.1 255.255.255.255  is directly connected, outside_backup
    C  192.168.1.0 255.255.255.0   is directly connected, inside
    L  192.168.1.1 255.255.255.255 is directly connected, inside

    SF3130# show sla monitor operational-state
    Entry number: 739848060
    Modification time: 01:24:11.140 UTC Thu Jun 12 2025
    Number of Octets Used by this Entry: 1840
    Number of operations attempted: 0
    Number of operations skipped: 0
    Current seconds left in Life: Forever
    Operational state of entry: Pending
    Last time this entry was reset: Never
    Connection loss occurred: FALSE
    Timeout occurred: TRUE -------------------------------------> AFTER THE DOWNTIME OF THE PRIMARY ISP THE TIMEOUT IS FLAGGED
    Over thresholds occurred: FALSE
    Latest RTT (milliseconds) : Unknown
    Latest operation return code: Unknown
    Latest operation start time: Unknown

    SF3130# show route 
    Gateway of last resort is 172.16.1.254 to network 0.0.0.0

    S* 0.0.0.0 0.0.0.0 [1/0] via 172.16.1.254, outside_primary ------------> AFTER A FEW SECONDS ONCE THE PRIMARY INTERFACE IS BACK THE DEFAULT ROUTE INSTALLS AGAIN IN THE ROUTING TABLE
    C 172.16.1.0 255.255.255.0    is directly connected, outside_primary
    L 172.16.1.1 255.255.255.255  is directly connected, outside_primary
    C 172.16.2.0 255.255.255.0    is directly connected, outside_backup
    L 172.16.2.1 255.255.255.255  is directly connected, outside_backup
    C 192.168.1.0 255.255.255.0   is directly connected, inside
    L 192.168.1.1 255.255.255.255 is directly connected, inside

    更新履歴

    改定 発行日 コメント
    1.0
    20-Jun-2025
    初版
    TAC Authored

    シスコ エンジニア提供

    • エデルパシェコ
      テクニカルコンサルティングエンジニア

    このドキュメントは役に立ちましたか?

    Feedbackフィードバック

    シスコに問い合わせ

    このドキュメントは次の製品に対応しています